觀點

為企業資安把脈 SOC委外服務篇

2009 / 09 / 11
左恩燦
為企業資安把脈 SOC委外服務篇
  資訊安全的氣象台— 資安監控中心 (SOC, Security Operation Center),7x 24全年無休的觀測企業的防火牆、IDS/IPS、網路流量等狀況,提供資安諮詢、預警回報、滲透測試、弱點評估服務,並在發生事件時與以快速的疑難排解,將風險和影響層面降至最低。

  SOC有自建和委外兩種類型,處理資料的機密性層級較高的組織企業多傾向自建,以金融業和大型企業為主;但由於SOC是橫跨多領域的專業知識,除了專業人才培育不易外,疊床架屋的建置費用和維護成本,讓中小企業或許多政府單位皆心有餘而力不足。SOC委外即是發揮資源共享的概念,讓外部的專業團隊和共同的機房來滿足不同企業用戶的需求。

  SOC這幾年在台灣被炒熱,許多供應商從原來是以IDC為主的服務也發展為SOC,以因應日益複雜困難的網路環境和市場需求。政府在法令上的推波助瀾也是其中一個主因國家資通安全會報規定,今年年底A級單位需完成建置SOC,其合作廠商則必需通過國家資通安全防護管理中心(NSOC)聯通認證。

  SOC在台灣市場表現的算是相當活躍,然而,企業建置SOC之後,雖大病不生,卻也小病不斷,看看企業的徵兆有哪些?

企業需求現場

  透過《資安人》雜誌「企業資安解決方案問卷調查」情形,來看看企業用戶實際上遭遇的問題。問卷題目包括:「企業內部SOC委外服務議題上,長期困擾企業且無法解決的問題」、「成功推動SOC委外服務最關鍵的因素」、「如何解決現階段SOC安委外服務的問題」、「企業採購的優先順序」等,來感受聽診器下企業用戶發出的聲音。

問卷調查顯示

1. 長期困擾企業的問題主要以「無適合方案」為多,其次為「高層不夠支持」與「方案無法完全解決問題」。

2. 認為要成功推動S O C委外的關鍵因素中,「導入計劃」、「有經驗的顧問」、和「產品功能」三者都是企業認為相當重要的,而其次為「高層支持」和「教育訓練」。

3. 企業尋求解決現階段SOC委外的途徑中,「找顧問與系統整合廠商」最多,「添購設備/產品」其次,僅少數會以「增加人力」來因應。

4. 企業採購的優先順序會考量的順序,以「資安服務廠商之商譽(口碑好) 」是首選,「價格」與「專業即時的服務能力」一般多,再來依序為「委管客戶的規模及數量」和「通過安全管理相關驗證」、最後才是「工具技術新穎選項」。

藥引(相關產品/方案)

  企業在尋求委外時常常面臨無所適從狀況,可能這家用功能來嚇唬,那家就用價錢來迷惑,聽完後深深明白了自己中毒很深,再不解毒很可能死狀難看,但還是不知道要吃哪一家解藥?

SIM / SEM

  安全資訊管理(SIM, Security Information Management)像是生機飲食中的精力湯,針對個人健康和口味來調整,但選擇食材上有些基本不變原則。SIM並非一項特定產品,而是一種解決方案,但一套SIM系統至少需具備資料蒐集、可將資料正規化和將事件做關聯性分析功能。安全事件管理(SEM, Security Event Management)則可謂資安儀表板,將風險視覺化管理。SEM是SIM的一部分,強調的是從眾多資訊中,分離出相關事件,並進行事件間的關聯分析,解決資訊過載的問題。

SLA

  服務水準協定(SLA, Service-Level agreement),SLA是企業IT委外服務時雙方簽定的權利義務合約,也是日後彼此信任關係的基礎,內容依委外服務項目訂定,目的是維持一定的服務水準和長久的合作關係。除了SLA之外,可在追加一帖保密契約條款。

委外安全管理

  將某部份或是全部的資安維運交給委外服務供應商代管,可減少人才訓練的費用和設備建置的成本,不但有人24小時全年無休替你看管,還可以從供應商處得到更多的資安情報;選擇對了供應商保證讓你人財兩得,選錯了,嗯?賠了夫人又折兵。

診斷書

徵兆一

多種網路設備整合不易。過去已具備防火牆、IDS/IPS等資安設備,建置SOC時面臨整合問題,技術之外還有政策、流程、制度、環境整合問題,難道過去投資要在建置SOC這一刻石沉大海!?
分 數  無(0分) 有,輕微(1分) 有,嚴重(2分) 有,很嚴重(3分)

徵兆二

發生問題找委外工程師,但是因為客戶太多太忙無法即時解決,以致品質下降。即使委外工程師駐點,但是很多問題還是得打電話回去問總公司的二階工程師,不但耗時也不見得能解決,處理能力上稍顯不足。
分 數  無(0分) 有,輕微(1分) 有,嚴重(2分) 有,很嚴重(3分)

徵兆三

通報訊息多如牛毛,資料是否正確,還有那些久而久之令人緊張疲乏的事件報表,背後可能對企業的營運影響有多大,資安人員姑且霧裡漫步看風景,碰碰運氣過日子。
分 數  無(0分) 有,輕微(1分) 有,嚴重(2分) 有,很嚴重(3分)

徵兆四

雖然採用SOC委外,但資安問題還是一件接一件發生,SOC委外難道只是噱頭、趕流行。老闆回頭質疑錢花太多卻沒成效,最後演變成?事件發生了,資安負責人員卻不敢向上呈報。
分 數  無(0分) 有,輕微(1分) 有,嚴重(2分) 有,很嚴重(3分)

徵兆五

老闆覺得『現金放在家裡床底下,比放在銀行安全』,況且企業養了一堆人為什麼不能自己做。然而,自建SOC後才知道值班人力真難找,雪上加霜的是最近又一批人要離職,要訓練新人到可上線操作,更是難上青天。
分 數  無(0分) 有,輕微(1分) 有,嚴重(2分) 有,很嚴重(3分)

望聞問切

8-12分 病入膏肓


該找顧問聊聊,SOC是否真的是貴公司必要的建設呢?重新檢視其必要性,透過顧問幫你剖析其中的急迫性與問題點。最重要的是要告訴老闆,這件工作對於企業來說會有哪些效益,包括人力、經費預算等,不要抱著花錢了事的觀念,只會讓狀況越來越差。

4-7分 需要調養身體

導入自建SOC或委外之後,是否針對服務水準與應變處理作持續性服務品質管理。當初簽下的SLA連結出來的作業層級服務水準協議(OLA)是否能夠被達到?這是導入之後常常遇到的服務品質考驗,當廠商的服務對象增加,但未提升人力/能力的狀況下,如何維持議定的服務水準呢?

1-3分 MIS經理換人當都沒關係

先天體質加上後天營養好,基本上只要用心維運、紮實做好稽核、檢驗的工作就沒問題。唯一的建議就是,持續對於服務品質進行追蹤,不要等到維護合約要續約才想到這件事。

處方籤
  
  目前通過NSOC資安事件資料交換連通測試驗證的SOC廠商有宏碁、數聯資安、中華電信、台灣IBM、巨安資訊、諮安科技、亞太網匯、凌群電腦、異術科技、關貿網路等10家。台灣IBM公司全球資訊科技服務事業部經理陳俊昌表示,以台灣這麼一個區區小島,SOC的數量與服務層級和國外的比例相較之下,此市場算是相當熱,技術能量也相當高。

  市場方面,陳俊昌認為,中小企業有自己的價位、服務內容和合同的一些標準,需求條件簡單明確,採購流程短,反而看到這個領域比較高的需求;相對於大型企業和金融業,有了想法後,可能要說服內部管理階層,和適應文化的需求,編列預算和採購時程反而拉長;而政府單位的需求亦相當高,主要是拜法令規範。

  預算不足,也有預算不足的做法。中華電信網際網路處科長吳怡芳表示,「企業的端點必需自己建置防火牆、防毒、防駭軟體,再透過網路安全端的防護服務委外資源,就能抵擋高比例的盲目性網路攻擊,解決SOC自建或委外的高價支出和資安人員不足的問題。」吳怡芳強調,SOC和服務兩個字是分不開的,找到好的委外服務商,企業得到的服務會超過他付的價錢。

  幾個廠商都看到了中小企業市場和user端防護的商機,尤其UTM承租或代管的趨勢顯見,以及政府的委外範圍未來也將日趨擴張。數聯資安技術處安全監控中心經理郭旭傑表示,台灣的SOC需求頗大,企業用戶會更傾向供應商全面性的協助解決問題(total solution),目前技術面也算成熟,但未來供應商之間競價的問題可能會導致成本考量而使品質下降,吃虧的還是企業用戶。

  建置SOC之後並不代表就有了百分百的安全,因為事件的發生無人能倖免,但是誰能提高應變的能力,將風險以及對企業的負面影響降至最低,並且將投資在IT的預算,更好的移轉至企業營運面,才是高手中的高手。

好的建置規劃是企業在意的,但不是企業決定導入SOC的唯一條件,企業在評估SOC委外時還會受到一些因素影響。

1. 評估服務層級—什麼樣的服務內容解決了什麼樣的問題?和業務的關連性如何?是否接關係?

2. 成本效益—現在的會計體制中幾乎IT都沒有固定的預算,預算是從業務部門編列出來,因此必需清楚知道,花出去的錢對應到業務的實質效益是什麼?和ROI的影響性、聯結性如何?

3. 價值—導入服務後價值和自建的差異性在哪裡?有多大?

4. 財力與穩定性—SOC的委外服務會讓企業和過去「網路泡沫化」聯想在一起,因此會仔細考慮服務供應商的財務等狀況,確定服務的穩定性,否則如果成為合作夥伴一兩年之後,供應商就合併或從市場上消失的話,IT人員就得面臨技術轉移上適應性的問題。

5. 商譽與規模—規模較大的供應商有會給企業較高的安全感,如果供應商的人員流動率大或是營運不善,可能導致重要資料日後被分散到不同的服務供應商。

                                                     —陳俊昌,台灣IBM公司全球資訊科技服務事業部經理